Alle Datenpannen aus Deutschland, in denen es um Persönliche Angaben geht
04.10.2008
Im Jahre 2006 sind bei der Deutschen Telekom 17 Mio Kundendaten illegal kopiert worden und in Umlauf gebracht worden. Während T-Mobile noch erklärt, daß diese Daten nicht mehr in Umlauf sind, tauchten sie bei einem Mainzer Unternehmer auf.
Das kuriose an diesem Fall ist die Gleichgültigkeit, mit der die Telekom mit den Daten umgeht. So wurde weder der Aufsichtsrat noch die Öffentlichkeit aufgeklärt, das Verfahren wurde im Juni 2008 bei der Staatsanwaltschaft Köln eingestellt.
Kommentar hinzufügen
02.10.2008
Durch eine Sicherheitslücke war monatelang eine Liste mit den Vor- und Zunamen aller 26.000 immatrikulierten Studenten der Universität Göttingen öffentlich zugänglich gewesen. Mit Hilfe dieser Liste ließen sich die zugehörigen E-Mail-Adressen generieren.
Ursache soll, so der Leiter der IT-Dienste, ein „Konfigurationsfehler in der Firewall” gewesen sein. Ob die geplante zweite Firewall komplett vor künfitgen Pannen schützen kann?
Kommentar hinzufügen
04.09.2008
Auf chinesischen Webservern tauchen rund 56.000 Datensätze mit E-Mail-Adressen und Kennwörtern auf, welche größtenteils aus der Bewerberdatenbank von PricewaterhouseCoopers (PwC) stammen. Spekuliert wird, daß die Datendiebe möglicherweise sich damit Zugang zu anderen Diensten erlangen können, bspw. das zugehörige E-Mail-Konto – und das ist bei identischen Kennwörtern durchaus möglich.
Direkter Zugang zu den Bewerbungsunterlagen wie Lebenslauf soll nicht möglich gewesen, da hierzu ein zusätzlicher Anmeldename benötigt wird, bei Zugriff auf das E-Mail-Konto aber durchaus realisierbar.
Das ZDF-Magazin WISO hat die Panne vorgestellt und zuvor alle Bewerber per E-Mail informiert.
Kommentar hinzufügen
31.08.2008
Das Flensburger Erotikunternehmen Beate Uhse betrieb in den vergangenen Jahren einen Online-Adventskalender. Dabei können Kunden an einem Gewinnspiel teilnehmen und erhalten dann Zugang zu freizügigen Videos. Bei jedem Zugriff wird das Datum, die Zeit sowie eine E-Mail-Adresse protokolliert, letzteres vermutlich im Kontext des Newsletter-Versandes.
Diese Logdateien waren ungeschützt und konnten über das Internet aufgerufen werden. Dazu mußte man lediglich durch die Verzeichnisse navigieren. Eins dieser Verzeichnisse ist sogar in den Index der Suchmaschine Google gelandet. Das heißt: wer beispielsweise zufällig nach der E-Mail-Adresse eines Seitenbesuchers gesucht hat, hätte mitunter diesen Treffen bekommen. Bestellungen oder Adressen der Kunden waren zu keiner Zeit einsehbar.
Die Lücke wurde innerhalb weniger Tage nach Bekanntwerden geschlossen. Die offizielle Erklärung von Beate Uhse lautet, daß es beim Upgrade des Shop-Systems einen Fehler gegeben haben soll.
Kommentar hinzufügen
11.08.2008
Die Verbraucherzentrale Schleswig-Holstein hat ein Datenleck aufgedeckt, in dem eine CD mit personenbezogenen Daten wie Namen, Telefonnummern, Geburtsdaten sowie komplette Kontoverbindungen von 17.000 Verbrauchern im Umlauf ist.
Vorausgegangen sind zahlreiche Beschwerden über unerwünschte Anrufe. Bei der Analyse der Beschwerden stellte sich heraus, daß viele zuvor die Lose der Süddeutschen Klassenlotterie (SKL) per Kontoabbuchung bezahlt hatten. „Die Namen der Exceldateien weisen auf die Süddeutsche Klassenlotterie (SKL) hin”, so die Verbraucherzentrale.
Kommentar hinzufügen
04.07.2008
Über eine Sicherheitslücke waren im firmeninternen Netz des Marktforschungsinstituts TNS Infratest/Emnid rund 41000 persönliche Datensätze über 4000 freie Mitarbeiter einsehbar. Um in das System einzudringen war allerdings ein Passwort nötig, so dass die Mitarbeiter nur untereinander ihre Daten einsehen konnten.
Das Passwort war dem Chaos Computer Club zugespielt worden, der die Sicherheitslücke aufdeckte. Das Hamburger Abendblatt berichtete über den Fall:
Konkret konnten Namen, Anschriften, Geburtsdatum, E-Mail-Adressen und Telefonnummern von Mitarbeitern eingesehen werden. Bei vielen Personen seien zudem Monatseinkommen, Kontoverbindungen, Krankenversicherungsdaten und Kreditkarteninformationen zugänglich gewesen.
Nachtrag:
Laut Chaos Computer Club handelte es sich nicht um 4000 freie Mitarbeiter, sondern um 40000 Personen, die sich für das Institut für Umfragen zur Verfügung stellen. Die Daten waren scheinbar doch nicht passwortgeschützt, sondern konnten einfach mit Kenntnis der URL erreicht gewesen. Außerdem sollen die Datensätze sehr detailliert werden (etwa auch eine Auflistung der Haushaltsgeräte im Besitz dieser Personen). Die Presse sei von TNS falsch informiert worden.
Kommentar hinzufügen
23.06.2008
Report München war Kriminellen auf der Spur, die mit falschen Identitäten handeln. Dabei stießen die Redakteure auf ein riesiges Datenleck bei einigen deutschen Meldebehören. Die verwenden zum Großteil eine Software des Herstellers HSH Soft- und Hardware Vertriebs GmbH zur Verwaltung der Melderegister. Standardmäßig ist diese Software mit einem Beispiel-Account ausgestattet, welcher ausgerechnet Root-Rechte (Superuser) hat. Da in vielen Behörden offensichtlich nicht ausreichend Personal mit technischem Know-How zur Verfügung steht wurde die Software nicht korrekt eingerichtet. Der Root-Account blieb bei einigen Behörden erhalten und das Passwort wurde nicht geändert.
Das allein wäre wahrscheinlich schon ein Skandal, da dann Mitarbeiter aus fast allen deutschen Meldebehörden über das Internet Zugriff auf die betroffenen Melderegister hätten. Aber damit nicht genug: Die Firma HSH hatte die Zugangsdaten zu diesem Beispielaccount zu Demonstrationszwecken auf ihrer Internetseite veröffentlicht. Damit war es jedem möglich auf die Melderegister lesend und schreibend zuzugreifen, sowie neue Benutzeraccounts anzulegen. Das Datenleck ist also nicht damit beseitigt, dass die betroffenen Behörden jetzt das Passwort geändert haben, da sich Kriminelle möglicherweise bereits eine Hintertür (also einen anderen Account) eingebaut haben. Zudem ist die Integrität der betroffenen Melderegister nicht mehr gewährleistet.
Peter Schaar, Bundesbeauftragter für den Datenschutz (Interview Report München):
Also, ich denke mal, ganz klar ist, dass überall dort wo diese Software eingesetzt wird, eine Revision der Systeme erforderlich ist. Und man wird dann entscheiden müssen, ob es ausreicht, die Passwörter […] zu ändern, oder ob hier generell noch einmal neu angefangen werden muss mit der Installation solcher Systeme.
Zu den Meldedaten gehören laut Wikipedia :
- Familiennamen, frühere Namen, Vornamen
- Doktorgrad, Ordensnamen/Künstlernamen
- Tag und Ort der Geburt, Geschlecht
- gesetzlicher Vertreter
- Staatsangehörigkeit(en)
- Religionszugehörigkeit
- gegenwärtige und frühere Anschriften
- Familienstand, Ehegatte oder Lebenspartner, Kinder
- Ausstellungsbehörde, Datum und Gültigkeitsdauer des Personalausweises/Passes
- Übermittlungssperren (z.B. bei Gefahr für Leben, Gesundheit oder persönliche Freiheit)
- Sterbetag und -ort
- Tatsache, dass der Betroffene vom Wahlrecht ausgeschlossen ist
- steuerrechtliche Daten
- Passversagungsgründe, Entzug des Ausweises
Kommentar hinzufügen
27.05.2008
Ein Mitarbeiter der Otto-von-Guerike-Universität Magdeburg wollte am Wochenende zu Hause arbeiten und hatte deshalb die Daten von rund 44000 (ehemaligen) Studenten auf einen öffentlichen Server der Universität kopiert. Da er vergessen hatte diese zu löschen waren sie dort 10 Tage lang abrufbar und auch über Google zu finden.
Die Datensätze enthielten Name, Geburtsdatum, Anschrift, Telefonnummer und Herkunft der Studenten. Nach Bekanntwerden wurden die Studenten per E-Mail von dem Vorfall informiert und die Daten sofort vom Server und kurz darauf aus dem Google-Cache gelöscht. Allerdings ist Google nicht der einzige Bot, der Internetseiten archiviert. Fraglich ist außerdem, ob die Daten zuvor bereits von Kriminellen kopiert wurden.
Kommentar hinzufügen
15.05.2008
Etwas unfreiwillig berühmt wurde eine Frau aus Mannheim im Mai 2008. Und zwar wurde im Internet ein Mitschnitt eines Notrufs bei der Mannheimer Polizei veröffentlicht. Dieser liegt bereits ein paar Jahre zurück, als sich die Dame wegen Ruhestörung bei der Polizei beschwerte. Ihr sehr starker Mannheimer Dialekt, die Verwendung von Kraftausdrücken sowie Androhung von Gewalt und ein vielleicht etwas zu lockerer Polizist verbreite sich sehr schnell unter den Kollegen und landete letztendlich bei Youtube. Nachdem dieser eine gewisse Popularität erlangt, schalteten sich TV-Sender ein vermarkteten anschließend das ganze Spektakel um eine streitsüchtige Frau.
Was dieser Fall lehrte: Anrufe werden bei der Polizei automatisch mitgeschnitten und nach einer bestimmten Frist ebenso gelöscht. In dem Fall gab es bei der Polizei einen Innentäter, der diesen Mitschnitt auf einem anderen Medium sicherte und anschließend verteilte. Der Beamte, der den Mitschnitt ins Internet stellte, wurde ermittelt – jedoch versicherte er, daß es zu diesem Zeitpunkt kein Dienstgeheimnis mehr war.
Rückblickend betrachtet hätte man in so einem Fall mindestens Namen und Anschriften unkenntlich machen müssen. Aber Mitleid braucht man mit der Frau nicht mehr zu haben: sie ist einen Exklusivpakt mit Sat 1 eingegangen.
Kommentar hinzufügen
08.10.2007
Rechtsextremisten machen im Raum Dresden mit Hilfe einer „Anti-Antifa-Akte” Jagd auf die Neonazigegner. Brisant ist, dass die Akte auch Fotos und Videomaterial der sächsischen Polizei enthält. So sollen die Rechtsextremisten im Besitz von 37 Fotos und 9 Videos aus Akten des LKA sein, welche hauptsächlich Linke zeigen. Die Akte enthält auch Namen, Adressen und Geburtsdaten. Ob die allerdings auch aus Ermittlungsakten der Polizei stammen ist unklar.
Unklar ist auch, wie die Neonazis an die Unterlagen kamen. Möglicherweise gibt es einen Spitzel oder es wurden gezielt Strafanzeigen gegen Linke gestellt und dann Akteneinsicht beantragt.
Kommentar hinzufügen